大多數加密項目在安全性方面的做法是反向的：他們先建設，然後再確保安全。 讓我們深入探討每個項目在進行審計之前應該實施的內容和原因，使用安全金字塔的類比。

2/8 第 1 級 (基礎)：代碼審查 這一級別以最低的成本提供最大的影響。 團隊需要通過適當的 git 工作流程實施同行審查，並避免 "全棧英雄" 經典症狀，即一個人處理所有事情。 多雙眼睛審查代碼能防止比單靠審計更多的漏洞。

3/8 第二級：單元測試 在任何審計之前，確保測試覆蓋率達到90-100%。使用與實作不同的語言來編寫測試，以避免重複邏輯錯誤。 測試邊界情況，而不僅僅是快樂路徑——特別是在區塊鏈中，因為代碼更難更新。

5/8 第四級：模糊測試 聖杯：針對複雜協議的基於屬性的模糊測試，帶有不變式，針對特定代碼路徑的引導模糊測試，以及與參考實現的差異測試。 模糊測試是發現複雜邊界情況的最佳工具。

6/8 金字塔上方是審計。這也是因為其有效性完全依賴於基礎。 跳過下層的項目通常會在審計中看到 20 多個關鍵問題。 實施所有 4 層的項目通常最多只會看到 1-2 個關鍵問題。

7/8 團隊遵循這些最佳實踐能夠捕捉到那些本來會被忽略的關鍵問題。 這降低了審計成本，並使整體上能夠發佈更安全的協議。 安全是一種從一開始就建立的方式，而不僅僅是最終外包的一個核對項。